ACL访问控制列表问题

8.8.8.8 是测试用的 用来当淘宝地址

ＡＣＬ机制默认从上往下匹配，匹配完后自动跳出，最后隐藏一条命令　ｄｅｎｙ　ａｎｙ　ａｎｙ

而且没用PAT 就静态路由！

access-l 100 per tcp any any 中TCP 改成IP试试

例如，以主动发起的数据流方向 源为自己 目的为要访问的地址 入接口为in 出接口为out

一个acl就行了，拓扑图上没标接口

在SW 上起一个ACL deny不允许上网的 deny不能访问淘宝的 per any
F0/5 in 方向关联ACL

IP 和 接口你改一下

已经完成要求
Router>en
Router#conf t
Router(config)#access-list 100 deny ip host 192.168.1.11 any 扩展列表 拒绝 192.168.1.11 主机访问 网络
Router(config)#access-list 100 deny tcp host 192.168.2.11 host 8.8.8.8 eq www 拒绝 192.168.2.11 访问 8.8.8.8 的 www服务，其他服务不受影响，看不出来所以 有加了一条语句
Router(config)#access-list 100 deny icmp host 192.168.2.11 host 8.8.8.8 拒绝 192.168.2.11 访问8.8.8.8 的数据
Router(config)#access-list 100 permit ip any any 允许 任何ip访问 从上向下逐条比对，一旦比对成功，就不在进行后续比对
Router(config)#inter fa0/1 数据的出口
Router(config)#ip access-group 100 out 引用进去
Router(config)#access-list 110 deny ip host 192.168.2.11 host 192.168.1.11 后面一样的意思
Router(config)#access-list 110 permit ip any any
Router(config)#inter fa0/0.2
Router(config-subif)#ip access-group 110 out
Router(config)#access-list 120 deny ip host 192.168.1.11 host 192.168.2.11
Router(config)#access-list 120 permit ip any any
Router(config-subif)#inter fa0/0.3
Router(config-subif)#ip access-group 120 out
Router(config-subif)#end
规则如下：
1.从上向下逐条比对，一旦比对成功，就不再进行后续比对！
2.列表最后一行 隐含一条“拒绝所有”语句
3.列表做好后，要应用到指定的接口会生效
4.以数据的流向做参考，进入接口的数据叫in，离开的接口数据叫out。
5.列表中至少应该包含一条允许语句，否则所有 流量将被拒绝！
查看 列表 show ip access-list 跟列表号
附上测试结果！

http://cs312779641.blog.51cto.com/